次世代 スーパーコンピューティング・ シンポジウム2006 · 算科学の発展のために必要な人材は多種多様な領域に亘るが、最も 重要なのは、複数の専門領域を理解し、融合領域や新領域に果敢に
基于DNS流量的多层多域名的检测与测量 -...
21
基于DNS流量的多层多域名的检测与测量 张伊璇 龚俭 东南大学网络空间安全学院 Multi-layer domain name detection and measurement based on DNS traffic CERNET年会 2019 杭州
Transcript of 基于DNS流量的多层多域名的检测与测量 -...
-
基于DNS流量的多层多域名的检测与测量
张伊璇龚俭
东南大学网络空间安全学院
Multi-layer domain name detection and measurement based on DNS traffic
CERNET年会 2019 杭州
-
PPT模板下载:www.1ppt.com/moban/ 行业PPT模板:www.1ppt.com/hangye/
节日PPT模板:www.1ppt.com/jieri/ PPT素材下载:www.1ppt.com/sucai/PPT背景图片:www.1ppt.com/beijing/ PPT图表下载:www.1ppt.com/tubiao/
优秀PPT下载:www.1ppt.com/xiazai/ PPT教程: www.1ppt.com/powerpoint/ Word教程: www.1ppt.com/word/ Excel教程:www.1ppt.com/excel/
资料下载:www.1ppt.com/ziliao/ PPT课件下载:www.1ppt.com/kejian/
范文下载:www.1ppt.com/fanwen/ 试卷下载:www.1ppt.com/shiti/ 教案下载:www.1ppt.com/jiaoan/ PPT论坛:www.1ppt.cn
目 录CONTENTS
1
相关工作2
多层多域名检测算法3
实验评估4
研究背景
总结5
-
01PART
研究背景
-
1 研究背景------域名活动测量
域名系统(DNS)是当今互联网重要的基础核心服务之一
存在非法活动滥用域名系统达到恶意目的
域名活动监测有利于实现内网运行管理和恶意服务挖掘
域名监测针对主域名,多层多域名现象导致监测的不准确
两个单位的域名及IP数量
-
1 研究背景------网站技术的发展
网站是服务与用户沟通的主要渠道
网页代码量增加,图像、视频、动态代码资源的增加
用户对网页浏览速度有要求
-
1 研究背景------多层多域名的应用及原理
多层多域名Multi-layer domain name
意义:并行获取网站资源,提升网站速度
主域名:访问网站时在浏览器输入的域名
从域名/资源域名:网站上展示的元素对应的域名
-
基于浏览器请求解析网页的流程
从域名大量猝发式访问
主域名下的大量资源从域名拥有相同的二级域
名
主域名的请求解析时间分别与从域名的请求解
析时间差不超过1s 浏览器解析渲染页面的抽象流程
1 研究背景------多层多域名特征
-
有助于有效讨论网站的访问行为
域名监测针对的是提供服务的域名,即主域名
DNS流中存在大量非服务域名,即从域名,会导致监测结果不准确
为域名影响力分析提供一种域名定位和域名筛选的思路
1 研究背景------研究多层多域名的意义
-
02PART
相关工作
-
2 相关工作------域名检测及数据来源
IPCISIP Comprehensive Information System
面向CERNET主干网运行管理和安全保障需求的标识资源基础信息库
对江苏省网边界的DNS流量实时采集和解析并存储
提供DNS查询日志和应答日志
-
03PART
多层多域名检测算法
-
DNS请求报文:以五分钟为粒度划分,再分解为不
同终端用户的DNS请求集合,然后将每个DNS请求
集合按照二级域名聚合。
DNS应答报文:在同时间粒度的DNS应答序列中找
到二级域名下所有域名的解析时间
判定规则:判断最早被解析的域名能否通过URL直
接访问,如果可以,该域名就是主域名,二级域名
下其他域名就为从域名;如果该域名不能直接访问,
就按照时间倒序的方式找到该域名解析之前第一个
能被直接访问的域名作为主域名,二级域名下所有
的域名都为从域名。
3 多层多域名检测算法------算法思路
-
3 多层多域名检测算法------滑动窗口验证机制
5 min | 5 min | 5 min
第一次获取主从域名检测结果集
验证在第一次检测结果中的从域名在该窗口数据内对应的主域名是否与第一次测量的相同,为结果赋予置信度
验证在第一次检测结果中的从域名在该窗口数据内对应的主域名是否与第一次测量的相同,为结果赋予置信度
检测结果
结果误差:
时间精度问题和数据随机性会造成实验结
果误差
滑动窗口验证机制:
5min为时间窗口粒度
对检测结果进行滑动验证,赋予置信度标
志结果的可信程度
可信度达到一定阈值之后停止验证检测
检测结果检测结果
-
04PART
实验评估
-
4 实验评估------实验数据
-
拥有不同数量从域名的网站数量分布 被不同数量网站引用的从域名数量分布
4 实验评估------测量结果
-
主从域名标签级数及比例
4 实验评估------测量结果
含有相同二级域名的域名数量及比例
-
典型多层多域名网站主从域名示例
4 实验评估------结果示例
网站的主域名多以“www”开头
从域名运营商:Akamai、阿里云、网速科
技
-
05PART
总结
-
提出了多层多域名概念的定义,分析了网站加速使用的技术及多层多域名的特点,并针对
这些特点设计了一个基于DNS流量的多层多域名检测算法及滑动窗口验证机制
对CERNET主干网江苏省网边界5天内的DNS流量应用该算法,验证了算法的可行性。
对实验结果进行了测量,多方位展示了多层多域名现象的特点。后续将以此为基础开展域
名影响力分析相关的研究。
5 总结
-
谢谢!
